Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Si applica a:
SQL Server 2019 (15.x) e versioni successive - Database SQL di Azure solo Windows
In Always Encrypted, la rotazione della chiave è il processo di sostituzione di una chiave master di colonna esistente o di una chiave di crittografia di colonna con una nuova chiave. Questo articolo descrive i casi d'uso e le considerazioni sulla rotazione delle chiavi specifiche di Always Encrypted con enclave sicuri quando la chiave iniziale e/o la chiave di destinazione (nuova) è una chiave abilitata per l'enclave. Per le linee guida generali e i processi di gestione delle chiavi Always Encrypted, vedere Panoramica della gestione delle chiavi per Always Encrypted.
Potrebbe essere necessario ruotare una chiave per motivi di sicurezza o di conformità, ad esempio se una chiave è stata compromessa o i criteri dell'organizzazione richiedono di sostituire periodicamente le chiavi. Inoltre, Always Encrypted con la rotazione delle chiavi delle enclavi sicure consente di abilitare o disabilitare la funzionalità delle enclave sicure lato server per le colonne crittografate.
- Quando si sostituisce una chiave non abilitata per l'enclave con una chiave abilitata per l'enclave, si sblocca la funzionalità dell'enclave sicura, consentendo di eseguire query sulle colonne protette con la chiave. Per altre informazioni, vedere Abilitare Always Encrypted con enclave sicure per le colonne crittografate esistenti.
- Quando si sostituisce una chiave abilitata all'enclave con una chiave non abilitata all'enclave, si disabilita la funzionalità dell'enclave sicura per effettuare query su colonne protette dalla chiave.
Se si ruota una chiave solo per motivi di sicurezza/conformità e non per abilitare o disabilitare i calcoli dell'enclave per le colonne, verificare che la chiave di destinazione abbia la stessa configurazione per le enclave della chiave di origine. Se ad esempio la chiave di origine è abilitata per l'enclave, anche la chiave di destinazione deve essere abilitata per l'enclave.
I passaggi seguenti includono collegamenti ad articoli dettagliati, a seconda dello scenario di rotazione:
- Fornire una nuova chiave (una chiave master di colonna o una chiave di crittografia di colonna).
- Per creare una nuova chiave abilitata per l'enclave, vedere Creare chiavi abilitate per l'enclave.
- Per effettuare il provisioning di una chiave non abilitata per l'enclave, vedere Effettuare il provisioning di chiavi Always Encrypted utilizzando SQL Server Management Studio e usare PowerShell.
- Sostituire una chiave esistente con la nuova chiave.
- Se si ruota una chiave di crittografia di colonna e sia la chiave di origine che la chiave di destinazione sono abilitate con enclave, è possibile eseguire la rotazione (che implica una nuova crittografia dei dati) in loco. Per altre informazioni, vedere Configurare la crittografia delle colonne sul posto usando Always Encrypted con enclave sicure.
- Per la procedura dettagliata di rotazione delle chiavi, vedere Ruotare le chiavi Always Encrypted con SQL Server Management Studio e Ruotare le chiavi Always Encrypted con PowerShell.
Contenuto correlato
- Eseguire istruzioni Transact-SQL con enclave sicure
- Configurare la crittografia delle colonne sul posto usando Always Encrypted con enclave sicure
- Abilitare Always Encrypted con enclave sicuri per le colonne crittografate esistenti
- Sviluppare applicazioni usando Always Encrypted con enclave sicuri
- Gestire le chiavi di Always Encrypted usando enclavi sicure